BÀI TIỂU LUẬN
(Môn lý thuyết Quản trị hiện đại)
Bài tập tình huống: “Doanh nghiệp để mất dữ liệu thông tin khách hàng”
Đề bài:
Dựa theo lý thuyết về quyết định, anh/chị hãy trả lời câu hỏi sau: Theo anh/chị, Bret
Flayton cần phải xử lý vấn đề mà doanh nghiệp ông gặp phải như thế nào? Tại sao?
Bài làm:
Dựa vào lý thuyết về quyết định (Mô hình ba bước ra quyết định của Herbert Simon Mô hình lý trí bị giới hạn); theo đó để xử lý vấn đề mà doanh nghiệp của mình đang gặp phải,
Bret Flayton có thể đưa ra quyết định sau khi tiến hành theo các bước:
* Bước 1: Xác định mục tiêu:
Phân tích vấn đề:
Brett Flayton là Giám đốc điều hành của Flayton Electronics - Một công ty bán lẻ
chuyên kinh doanh các sản phẩm thiết bị điện tử, bao gồm hệ thống 32 cửa hàng tại 6 tiểu
bang của Mỹ với số lượng nhỏ các giao dịch trực tuyến. Và hiện tại vừa xảy ra sự việc là Công
ty của ông có dấu hiệu bị đánh cắp thông tin dữ liệu của khách hàng. Qua một phân tích của
Ngân hàng Union Century về thẻ tín dụng gian lận cho thấy đã có khoảng 1.500 thẻ mua hàng
tại Flayton đang có khả năng có vấn đề. Đó là con một số cao đáng ngạc nhiên đối với một
kiểm tra thường xuyên. Union Century đã bắt đầu thông báo cho các ngân hàng khác, cũng
như Visa và MasterCard để xem liệu có hiện tượng tương tự và con số 1500 có thể chỉ là
“đỉnh của tảng băng trôi”.
Trên thực tế thị trường bán lẻ hiện nay cho thấy: Trộm cắp dữ liệu dường như là phổ
biến và các công ty có thể bị xâm nhập bằng nhiều cách khác nhau gây nên những tổn thất và
hậu quả khôn lường. Những tên trộm đánh cắp thông tin thẻ tín dụng, số an sinh xã hội, thông
tin tài khoản ngân hàng, và thậm chí cả địa chỉ e-mail. Dường như có một thị trường đen cho
hầu như bất kỳ loại dữ liệu nào. Những tên tội phạm đang trở nên ngày càng thông minh và
không ai là có thể miễn dịch đối với chúng. Để đối phó với thực trạng đó, các tổ chức cung
cấp thẻ thanh toán Quốc tế lớn đã thành lập ra Hội đồng tiêu chuẩn bảo mật an ninh dữ liệu
thẻ thanh toán (PCI DSC) nhằm mục tiêu bảo vệ an ninh dữ liệu thẻ thanh toán trên toàn thế
1

giới, chống lại việc xâm nhập và sử dụng dữ liệu của khách hàng bất hợp pháp. Mọi doanh
nghiệp (bất kể về quy mô và số lượng giao dịch qua thẻ credit card mỗi năm) đều bắt buộc
phải tuân thủ các yêu cầu theo tiêu chuẩn này, định kỳ sẽ có sự đánh giá lại việc tuân thủ, nếu
vi phạm sẽ phải chịu các chế tài xử lý nghiêm khắc.
Đối với Công ty của Brett Flayton, đây là cơ nghiệp ông được kế thừa từ người cha của
mình sau hơn chục năm vất vả gây dựng nên danh tiếng cho Công ty. Cùng với quyết tâm tiếp
tục phát triển Công ty lớn mạnh, những năm gần đây ông cũng đã đầu tư nhiều thời gian và
tiền bạc để phù hợp với ngành công nghiệp thanh toán thẻ mới và tiêu chuẩn về bảo vệ dữ
liệu; tuy nhiên vẫn còn có những hạn chế nhất định trong lĩnh vục này: Trước hết đó là sự hạn
chế về nhận thức của chính Brett với vai trò là người chủ doanh nghiệp đối với các vấn đề về
bảo mật dữ liệu thẻ thanh toán bởi ông đã từng có suy nghĩ chủ quan, mơ hồ: “Công ty của
ông chỉ là một chuỗi khu vực với 32 cửa hàng trong sáu tiểu bang và sự hiện diện trực tuyến
khiêm tốn. Flayton khó có thể là một mục tiêu cho ăn cắp rất nhiều dữ liệu khách hàng. Hoặc
có thể có?”; đến khi sự việc xảy ra ông đã phải dành cả đêm để tự tìm kiếm và nghiên cứu,
cập nhật các kiến thức, thông tin về vấn đề này. Cùng với đó còn là sự thiếu kinh nghiệm
những người được giao trách nhiệm chính về an ninh của Công ty (Cô Laurie Benson - Phó
Chủ tịch phòng chống mất mát) là một cựu cảnh sát Chicago với những thành tích ấn tượng
và kinh nghiệm trong việc giảm trộm cắp về tài sản vật chất, còn với loại hình trộm cắp thông
tin này thì tuy cô cũng đã dự đoán trước được, nhưng khi đứng trước sự việc thì đối phó với
nó thực sự là một vùng đất mới, không dễ lần ra dấu vết, manh mối bởi các chuỗi dữ liệu được
thực hiện qua nhiều quy trình, nhiều bước mà bản thân cô cũng “không nắm bắt được tất cả
các bước của quá trình” và tuy “các chuỗi chính nó là đơn giản, nhưng việc xác định điểm yếu
nhất của nó là không”. Bên cạnh đó, với tham vọng của mình Brett đã đẩy tốc độ tăng trưởng
của Công ty quá nhanh, ông đã tìm cách đầu tư cổ phần tư nhân một vài năm trước và thường
xuyên thực hiện các nghĩa vụ để cung cấp những lợi nhuận mà ông đã hứa hẹn; chiến lược
của ông là tích cực và ông tự tin với nó - cho đến bây giờ, với những câu hỏi được đặt ra: Có
phải ông đã thiển cận về một cơ sở hạ tầng cần thiết để vận hành một công ty lớn? Đã đặt ra
yêu cầu phát triển của Công ty vượt quá khả năng của đội ngũ nhân viên lâu năm của mình
với những hạn chế về sự nhanh nhạy, về khả năng thích nghi, cập nhật các kiến thức, kỹ năng
mới? Ông đã để lại một lỗ hổng, điểm yếu trong Flayton bởi sự thiếu đầu tư trong hệ

thống?.... Hạn chế còn thể hiện ở chỗ Công ty của ông trên thực tế chỉ đáp ứng được khoảng

2


75% các yêu cầu của PCI DSC và phần nào còn có tâm lý đối phó trong việc tuân thủ (thể
hiện qua lời báo cáo của Sergei).
Quay trở lại sự việc, cho đến cuối ngày hôm sau, nghi vấn về việc Công ty để mất thông
tin dữ liệu khách hàng càng được khẳng định rõ bởi: Thông tin mới từ các ngân hàng cho biết
số lượng tài khoản bị tổn hại đã tăng lên (nhiều hơn con số 1.500 lúc ban đầu); Bộ phận chức
năng của Công ty cũng đã tìm kiếm và xác định được một tường lửa bảo vệ kho dữ liệu đã bị
vô hiệu hóa (có thể do vô tình hoặc cố ý, vì đây là hệ thống tương đối mới và trong thời gian
vận hành cũng đã phát hiện ra các lỗi bởi tường lửa thường có thể là có vấn đê). Và như vậy,
dữ liệu nội bộ của Công ty được cho là đã cơ bản bị phát tán ra bên ngoài.
Trước tình hình này, các mật vụ liên bang (FBI) cũng đã tham gia vào điều tra, tuy nhiên
họ yêu cầu Công ty giữ bí mật cho đến khi có được bức tranh đầy đủ, đồng thời muốn có đủ số
lượng hành vi diễn ra bình thường để thực hiện cuộc điều tra (mặc dù, do đã biết được sự việc
nên các ngân hàng có thể dễ dàng từ chối nếu cảm thấy thẻ thanh toán có vấn đề). Tuy nhiên,
Brett lại không đồng tình với yêu cầu trên bởi vì khách hàng của công ty sẽ bị lừa đảo và việc
kinh doanh của doanh nghiệp là dựa trên sự tin tưởng của khách hàng vào doanh nghiệp.
Giám đốc truyền thông của Công ty cũng đưa ra 3 phương án về chiến lược truyền
thông đối với sự việc này: (1) Tổ chức một cuộc họp báo và công khai vụ việc. (2) Thông báo
cho khách hàng bằng thư rằng đã có một sự vi phạm và rằng tình hình đã được giải quyết.
(3) Không làm gì cả cho đến khi cơ quan thực thi pháp luật có được kết luận cuối cùng. Theo
đánh giá của Brett thì phương án (1) là cách tiếp cận thẳng thắn nhất, phương án (2) có thể tạo
ra tâm lý lo lắng cho khách hàng rằng công ty đang che giấu điều gì, phương án (3) tuy là dễ
nhất nhưng theo ông "Không làm gì không phải là một lựa chọn".
Tư vấn của Công ty - Darrell Huntington thì cho rằng: Do không có bằng chứng dứt
khoát, tất cả các bằng chứng là tình huống, không chứng minh được sự liên quan về vai trò
của Công ty trong vụ việc, mà chỉ là “dường như có một sự tương quan giữa các thẻ với các

hoạt động gian lận và thẻ được sử dụng để mua hàng tại Flayton. Đó có thể là một sự trùng
hợp. Tại thời điểm này, chúng tôi không có bằng chứng thực tế của một vi phạm dữ liệu tại
Flayton”. Ông tiếp tục khẳng định "Chiến lược truyền thông của bạn là không nên nói chuyện
với bất cứ ai. Nếu bạn nhận được một cuộc gọi từ các phương tiện truyền thông, chỉ cần xác
nhận rằng Flayton đã được liên lạc với cơ quan thực thi pháp luật liên quan đến một cuộc điều
tra và bạn đang hợp tác đầy đủ. Cơ quan mật vụ họ không nói cho ai bất cứ điều gì." Darrell

3


* Bước 2: Tìm các giải pháp thỏa mãn mục tiêu:


Nhóm giải pháp thứ nhất:
Thông báo bằng thư cho tất cả khách hàng của Công ty rằng dữ liệu của họ có thể đã bị
xâm nhập và hướng dẫn họ rà soát, kiểm tra các hóa đơn; đồng thời tiếp tục phối hợp để FBI
thực hiện và hoàn tất cuộc điều tra. Căn cứ vào kết quả cuộc điều tra sẽ mời các chuyên gia
trong lĩnh vực bảo mật thông tin để tư vấn khắc phục ngay các khâu yếu và xử lý những vấn
đề cấp bách nhằm hạn chế thấp nhất thiệt hại của khách hàng và Công ty ở hiện tại lẫn tương
lai. Về mặt chiến lược lâu dài, tiếp tục kiện toàn đội ngũ lãnh đạo và nhân viên để thích nghi
và đáp ứng được những lĩnh vực mới trong quá trình phát triển của Công ty, đặc biệt đầu tư
thời gian và kinh phí để hoàn thiện hệ thống cơ sở hạ tầng phù hợp với ngành công nghiệp
thanh toán thẻ và đảm bảo tiêu chuẩn về bảo vệ dữ liệu, đáp ứng tốt các yêu cầu của PCI DSC.
Ưu điểm:
Việc thông báo cho khách hàng rằng dữ liệu của họ có thể đã bị đánh cắp có thể là biện
pháp tốt nhất để sớm phát hiện ra vấn đề; đồng thời cảnh báo giúp khách hàng thận trọng hơn
trong quá trình sử dụng thẻ; bên cạnh đó cũng phần nào cho thấy được trách nhiệm và sự quan
tâm, lo lắng của Công ty đối với từng khách hàng của mình. Ngoài ra các biện pháp còn lại
cũng đều góp phần vào việc tìm ra nguyên nhân, hạn chế thiệt hại và kiện toàn công tác bảo
mật dữ liệu khách hàng của Công ty. Từ đó, củng cố lòng tin của khách hàng, lấy lại danh

tiếng và uy tín cho Công ty.
Nhược điểm:
Việc thông báo cho khách hàng có thể làm ảnh hưởng phần nào đến cuộc điều tra; đồng
thời có thể sẽ gặp phải những phản ứng tiêu cực từ phía khách hàng, gây nên tâm lý lo ngại,
giảm sút lòng tin và Công ty thậm chí có thể bị kiện; Bên cạnh đó việc chờ có kết quả điều tra
mới mời chuyên gia khắc phục có thể làm tăng thiệt hại cho Công ty và khách hàng.
Giải pháp thứ hai:
Tổ chức một cuộc họp báo công khai về vụ việc; đồng thời tiếp tục phối hợp để FBI
hoàn tất cuộc điều tra. Song song với đó (và căn cứ kết quả cuộc điều tra sau này) để mời các
chuyên gia khắc phục ngay các khâu yếu và xử lý những vấn đề cấp bách nhằm hạn chế thấp
nhất thiệt hại. Tiếp theo về chiến lược lâu dài cũng như nhóm giải pháp thứ nhất là tiếp tục kiện
toàn đội ngũ lãnh đạo và nhân viên, đầu tư thời gian và kinh phí để hoàn thiện hệ thống hạ tầng
phù hợp với ngành công nghiệp thanh toán thẻ và đảm bảo tiêu chuẩn về bảo vệ dữ liệu.
Ưu điểm của giải pháp:

5


Việc tổ chức họp báo là một cách tiếp cận thẳng thắn nhất và có thể tạo được cái nhìn
thiện cảm hơn của dư luận đối với Công ty khi đã để xảy ra sai sót (có thể được đánh giá là
minh bạch, dũng cảm,..). Bên cạnh đó việc mời ngay các chuyên gia để khắc phục hậu quả
cũng là một ưu điểm để hạn chế kịp thời thiệt hại. Các biện pháp tiếp theo giúp củng cố lòng
tin của khách hàng, lấy lại danh tiếng và uy tín cho Công ty.
Nhược điểm của giải pháp:
Việc tổ chức họp báo cũng có thể làm ảnh hưởng phần nào đến cuộc điều tra; bên cạnh
đó, do không thông báo và hướng dẫn cụ thể đến từng khách hàng có thể là nguyên nhân gây
sơ hở, sai sót trong quá trình sử dụng thẻ tiếp tục dẫn đến một số thiệt hại không đáng có; và
khách hàng cũng không thấy được sự quan tâm, trách nhiệm của Công ty đối với mình. Ngoài
ra, Công ty cũng có thể bị biện bởi khách hàng, các ngân hàng và các nhà đầu tư. Đồng thời
chắc chắn sẽ phải chịu nhiều sự phiền toái từ giới truyền thông.

* Bước 3: Lựa chọn giải pháp:
Với 2 nhóm giải pháp đưa ra ở trên kèm theo những phân tích về ưu và nhược điểm của
từng giải pháp; đồng thời qua theo dõi các diễn biến của tình huống luôn có cảm nhận Brett
Flayton là một người chính trực, thận trọng, chắc chắn và luôn nghĩ cho khách hàng của mình
nên việc ông lựa chọn giải pháp thứ nhất để thỏa mãn mục tiêu có lẽ là phù hợp hơn cả.

6